LastPass wydał obszerne oświadczenie na temat naruszenia, którego doświadczył kilka miesięcy temu. Mówiąc najprościej, sytuacja nie jest dobra.
Kilka tygodni temu LastPass wydał oświadczenie na swoim blogu, w którym podzielił się tym, że tak doświadczył naruszenia. W tym czasie Karim Toubba, dyrektor generalny LastPass, nie wdawał się we wszystkie szczegóły, przekazał jedynie, że miał miejsce incydent związany z bezpieczeństwem w zewnętrznej usłudze przechowywania w chmurze, z której korzysta LastPass. Teraz firma szczegółowo opisuje, co się wydarzyło i nie jest dobrze.
Toubba ponownie odwiedziła firmowego bloga, aby podzielić się swoimi ustaleniami w związku z incydentem. Według postu, atak ten nie miał wpływu na dane klientów, ale skradziono „kod źródłowy i informacje techniczne”. Niestety, dysponując tymi informacjami, osoba atakująca wybrała następnie pracownika, uzyskując dane uwierzytelniające i klucze, które posłużyły do odszyfrowania informacji w chmurze i uzyskania dostępu do nich.
Stąd osoba atakująca mogła uzyskać dostęp do informacji o koncie, takich jak „nazwy użytkowników końcowych, adresy rozliczeniowe, adresy e-mail, numery telefonów i adresy IP, z których klienci korzystali z usługi LastPass.” Ponadto uzyskano dane ze skarbca klienta, które zawierały zaszyfrowane „nazwy użytkowników i hasła do witryn internetowych, bezpieczne notatki i dane wypełnione formularzem.”
Być może więc zadajesz sobie pytanie, co to wszystko dokładnie oznacza?
Cóż, jest kilka dobrych i złych wiadomości. Jeśli chodzi o dobrą wiadomość, zebrane dane zostały zaszyfrowane i do odszyfrowania wymagane jest hasło główne użytkownika. Zła wiadomość jest taka, że jeśli atakujący ma czas, może wypróbować tyle haseł, ile potrzeba do odszyfrowania danych. LastPass przyznaje, że istnieje taka możliwość, ale stwierdza, że byłoby to „niezwykle trudne”, o ile samo hasło jest skomplikowany.
LastPass ostrzega również, że ataki phishingowe mogą stać się coraz częstsze, a ich celem będzie zaskoczenie klientów i wydobycie haseł głównych. Jeśli chodzi o to, co można teraz zrobić, tak naprawdę chodzi tylko o zachowanie czujności i nie padnięcie ofiarą prób phishingu. Jeśli wydaje Ci się to niezwykłe lub podejrzane, zbadaj to. LastPass od dłuższego czasu wymaga co najmniej 12-znakowych haseł. Takie naruszenia mogą jednak mieć miejsce, a kiedy do nich dochodzi, naprawdę pozwala to spojrzeć na sprawę z innej perspektywy.
Firma stara się jednak zapewnić, że odgadnięcie złożonego hasła zajęłoby miliony lat. Oczywiście nie powinno to Cię uspokoić, ponieważ ktoś ma Twoje zaszyfrowane dane. LastPass wprowadził zmiany w swojej infrastrukturze, aby zapobiec naruszeniom w przyszłości i skontaktował się z klientami biznesowymi wysokiego ryzyka w celu przekazania instrukcji.
Źródło: LastPass